Những phần mềm có tên gọi như Speed Clean, Rocket Cleaner, Super Clean, Phone Booster hay CPU Cooler thu hút hàng trăm nghìn lượt tải trên chợ ứng dụng của Google. Thống kê của Trend Micro cho thấy, 9 ứng dụng phổ biến nhất đã được tải hơn 470.000 lần.
Để vượt qua trình quét kiểm tra bảo mật Play Protect trên Play Store của Google, các ứng dụng ban đầu không bị nhiễm mã độc. Tuy nhiên, sau khi được người dùng tải về, nó lập tức kết nối với máy chủ từ xa và có thể tải xuống tới 3.000 biến thể phần mềm độc hại khác nhau, sử dụng cho mục đích riêng.
Bên cạnh đó, một số ứng dụng cũng được cài sẵn mã độc, nhưng có thể đánh lừa người dùng bằng cách yêu cầu họ kích hoạt quyền truy cập Android và vô hiệu hóa Play Protect. Phần mềm độc hại sau đó được tải xuống và cài đặt dễ dàng mà không bị phát hiện có virus.
Sau khi xâm nhập, một số ứng dụng tự hiển thị quảng cáo từ các nền tảng hợp pháp như Google AdMob và Facebook Audience Network, nhưng xuất hiện với tần suất cao để "dụ dỗ" người dùng truy cập. Số khác tự động hiển thị quảng cáo lên màn hình trái phép hoặc tự tạo môi trường ảo để chạy quảng cáo ngầm.
Một số mã độc còn sử dụng tính năng trợ năng trong Android để tạo ra đánh giá giả. Thậm chí, chúng còn có thể tự đăng nhập tài khoản Google hoặc Facebook trên thiết bị để thực hiện các hành vi lừa đảo hoặc gian lận khác.
Theo đại diện Trend Micro, người dùng tại Nhật Bản, Đài Loan, Mỹ, Ấn Độ và Thái Lan bị ảnh hưởng mạnh nhất. Trong khi đó, Trung Quốc - quốc gia thường xuyên bị hacker nhắm mục tiêu do người dùng thiết bị di động lớn - lại không nằm trong vùng bị nhiễm.
Các nhà nghiên cứu thuộc nhóm X-Force của IBM cũng phát hiện một phần mềm lừa đảo khác mang tên Anubis, được cho là một trong những mã độc có tốc độ lây lan nhanh nhất và chiếm nhiều tài nguyên nhất được viết cho hệ điều hành di động.
Anubis được đánh giá là hoạt động "khéo léo" và rất khó bị phát hiện. Chúng có thể giả danh phần mềm ngân hàng để thực hiện gian lận tài chính. Thậm chí, nó còn lợi dụng cảm biến chuyển động của smartphone, máy tính bảng để cài trình giả lập và hoạt động trên đó thay vì sử dụng phần cứng có sẵn nên rất khó bị tìm ra nếu sử dụng các trình quét bảo mật thông thường.
Không những thế, Anubis còn thực hiện hàng loạt tác vụ khác trên máy bị nhiễm, chẳng hạn tự động chụp ảnh màn hình và gửi về máy chủ từ xa, tự mở liên kết website, tự gửi, nhận và xóa SMS, bật GPS và định vị tự động, vô hiệu hóa Play Protect, quét dữ liệu trên máy...
Các nhà nghiên cứu cho biết hiện chưa có cách triệt để cho việc ngăn chặn những mã độc nêu trên. Người dùng có thể bảo vệ mình bằng cách tải về ứng dụng được đánh giá tích cực trên Play Store, cũng như tránh các phần mềm không rõ nguồn gốc từ cửa hàng bên thứ ba.
Bảo Lâm (theo Arstechnica)